52這里所說討論的情境( context)，倒是有環境的含義了。此處原文為context of the organization，即組織的情境、環境或上下文。這部分在ISO/IEC 27001：2005中也有，但是沒這么強調H；來，這些內容在ISO/IEC 27003中有比較詳細的介紹。

56要點，原文為issues，有重要問題的含義。注意，ISO/IEC 27001：2005中沒有這個詞匯，即使出現與此處的含義也完

全不同。例如.4.3.2 a）approve documents for adequacy prior to issue;這里的issue指的是文件發布。

57 Lsl是原文參考書目的順序編號。

58 IS0 31000: 2009，在ISO/IEC 27001：2005中沒有提及。目前www.iso.o唱在售的版本為IS0 31000: 2009 Risk manage-

ment--Principles and guidelines風險管理原則與指導，該標準的原則是通用的，不針對具體的行業或組織。但是這個標準的目的并不是要提高風險管理在不同組織之間的統一性，恰恰相反，設計與實施應考慮組織所采用的風險管理計劃與框架應該考慮特定組織的需求，特殊的目標、情境、結構、運作、過程、功能、計劃、產品、服務、資產和特定實踐（Although IS0 31000: 2009 provides generic guidelines，it is not intended to promote uniformity of risk manage - ment across organizations. The design and implementation of risk management plans and frameworks will need to take into ac - count the varying needs of a specific organization, its particular objectives, context, structure, operations, processes, functions,projects，products，services，or assets and specific practices employed)。這個邏輯和ISO/IEC 27001完全相同。IS031000: 2009還有兩個相關標準，分別為：ISO Guide 73: 2009，Risk management-Vocabulary和ISO/IEC 31010: 2009，Risk manage- ment - Risk assessment techniques。不僅IS0 31000: 2009引用了ISO Guide 73: 2009的術語和定義，其他關于風險管理的標準一般也引用該標準，例如ISO/IEC 27005。ISO/IEC 31010: 2009關注風險評估的概念、過程和風險評估技術的選擇。

59 IS0 31000: 2009的條款5.3及其下面的章節為：5.3 Establishing the context;5.3.1 General 5.3.2 Establishing the external

context;5.3.3 Establishing the internal context;5.3.4 Establishing the context of the risk management process;5.3.5 De - fining risk criteria。可見，本節的描述基本來自IS031000：2009的條款5.30在具體實施中，應該研究一下該標準。但是要注意，IS031000跟ISO/IEC 27005不同，按照前面所示的分析單元來看，IS031000是針對組織層次的，ISO/IEC 27005 其實比較關注信息系統，雖然在討論影響的時候要考慮對組織的影響，但是毫無疑問其觀察單元( Unit of observed) 不是組織。